前提：相关services均有重启、确认status正常、均使用root、Red Hat 7.9 & 8.6。
vi /etc/audit/rules.d/audit.rules
底下有加了：-w /tmp/test -p wa -k audit_check
手动执行都正常：
ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
当/tmp/test内有异动会写入到audit_check.log
但我用crontab设定：
xx xx * * * ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
结果audit_check.log的内容反而变成空的(非无输出，会被盖掉)，请问为何?
其它尝试(一样手动跑shell可以、但透过crontab就不行)：
xx xx * * * sh /root/audit_check.sh
#!/bin/bash
PATH=/usr/sbin:/sbin:/usr/bin:/bin
/usr/sbin/ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log

看一下信箱有没有收到错误讯息？

是成功的，只是覆蓋变成空值?有内容变无内容..

写在 /etc/crontab 的 audit_check.sh 要有完整路径

我直接用root去crontab -e，有给完整路径，结果会是no match而空白，我怀疑是参数-ts today的问题？

看不出来你多久我执行一次，如果做一次要很久，结果下一个又开始执行了，就可能是空白